Avast udostępnia dekryptor dla ransomware Akira

4 lipca, 2023

W ostatnich tygodniach przestępcy z ugrupowania Akira skutecznie zaatakowali bank w Południowej Afryce, a od początku kwietnia 2023 roku nawet kilkadziesiąt innych organizacji. Wyspecjalizowali się w dobieraniu ofiar z zaplecza biznesowego – atakują nieodpowiednio zabezpieczone konfiguracje systemów wirtualnych oraz serwerowe środowiska, wykorzystują luki w niezaktualizowanych rozwiązaniach do wirtualizacji np. Vmware ESXI.

akira ransomware
Jest to strona internetowa ugrupowania Akira. Można tam przeczytać o najnowszych zaatakowanych celach.

Użyj przeglądarki do sieci Tor, aby odwiedzić stronę przestępców:

				
					akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion
				
			

Firma Avast opublikowała analizę techniczną oraz dekryptor dla zaszyfrowanych plików tym rodzajem ransomware. Nie ma się co dziwić, że odszyfrowanie nie było możliwe w „normalny” sposób, ponieważ ransomware Akira używa szyfrowania symetrycznego i asymetrycznego: pliki są szyfrowane symetrycznie algorytmem Chacha 2008, a klucz deszyfrujący jest szyfrowany asymetrycznie RSA 4096 bitów.

decryptor akira
Dekryptor Akira ransomware.

Przy czym co bardzo istotne, jak podaje Avast:

Klucz symetryczny jest szyfrowany za pomocą szyfru RSA-4096 i dołączany do końca zaszyfrowanego pliku. Klucz publiczny jest zakodowany na stałe w pliku binarnym ransomware i różni się w zależności od próbki.

Następujące rozszerzenia są szyfrowane:

  • .exe 
  • .dll 
  • .lnk 
  • .sys 
  • .msi

     

Z kolei te katalogi są ignorowane:

  • winnt (to jest katalog z Windows 2000!)
  • temp 
  • thumb
  • $Recycle.Bin 
  • $RECYCLE.BIN 
  • System Volume Information 
  • Boot 
  • Windows 
  • Trend Micro

     

Dekryptor możesz pobrać bezpośrednio z linku poniżej albo ze strony firmy Avast:

				
					https://files.avast.com/files/decryptor/avast_decryptor_akira64.exe
https://files.avast.com/files/decryptor/avast_decryptor_akira.exe
				
			

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]